【控制篇 / 分流】(7.4) ❀ 01. 对指定IP网段访问进行分流 ❀ FortiGate 防火墙

　　【简介】公司有两条宽带，一条ADSL拨号用来上网，一条移动SDWAN，已经连通总部内网服务器，领导要求，只有访问公司服务器IP时走移动SDWAN，其它访问都走ADSL拨号，如果你是管理员，你知道有几种方法可以实现吗？

静态路由

　　最简单的方法是通过静态路由对数据分流，但是对宽带的默认路由需要做合理配置。

　　① 首先配置ADSL拨号宽带，需要重点注意的是【管理距离】设置，默认数置为5，这里修改为10，需要注意的是，因为有两条宽带，就会有两条默认路由，而默认路由的管理距离数值必须是相同，才能同时使用两条宽带。PPPoE拨号会自动生成默认路由，不需要手动配置。

　　② 再配置移动SDWAN，于由IP地址是固定的，所以寻址模式选择【静态】，这里并没有配置网关选项，我们需要创建静态路由来配置网关。

　　③ 为移动SDWAN创建静态路由，配置接口和网关地址，注意这里的管理距离默认为10，这就是为什么ADSL拨号宽带的管理距离由默认的5改成10的原因了。因为只有管理距离相同，两条宽带才能同时使用。那么优先走哪条宽带，就是由高级选项下的优先级来确定的。这里将移动SDWAN的默认路由优先级从1改为5。

　　④ 我们需要在路由表中查看默认路由的当前情况，选择菜单【仪表板】-【网络】，选择路由小部件。

　　⑤ 在静态&动态路由表中，可以看到有两条网络为0.0.0.0/0的默认路由，分属于两条宽带。管理距离都为10，所以两条宽带可以同时使用，优先级ADSL宽带为1，移动SDWAN为5，那么，上网流量都会走ADSL宽带，不会走移动SDWAN。

　　⑥ 选择菜单【策略&防火墙】-【防火墙策略】，点建【新建】，创建内网走Wan1口上网的策略。

　　⑦ 同样的方法创建走Wan2上网的策略。现在，内网接口访问所有的IP地址（包括总部服务器IP），都会走Wan1，这是因为Wan1的默认路由优先级为1（数字越小，越优先）。

　　⑧ 由于访问总部服务器IP走需要走移动SDWAN宽带，因此还需要再创建一条静态路由。选择菜单【仪表板】-【静态路由】，选择移动SDWAN的默认路由，点击【克隆】。

　　⑦ 目标地址输入总部服务器IP地址网段。如果有多个网段，那么创建多条默认路由。

　　⑧ 再次查看路由表，可以看到新创建的访问总部服务器IP的路由。当我们访问服务器IP 172.16.100.254时，匹配第7条静态路由，走移动SDWAN出去。而当我们访问baidu.com时，区配第一条策略，走ADSL宽带出去，因为第一条的优先级最高（数字越小，优先级越高）。

策略路由

　　策略路由的优先级大于静态路由，是我们强制路由走向的优先选择。

　　① 选择菜单【网络】-【策略路由】，点击【新建】。

　　② 如果在菜单中没有显示策略路由选项，可以点击菜单【系统管理】-【可见功能】，启用【高级路由】，再次刷新页面，就能在菜单中看到策略路由选项。

　　③ 策略路由可配置的内容比静态路由多了很多，例如流入接口、源地址，而且源地址、目标地址可以同时填写多个IP网段，并且可以使用地址对象，这个在静态路由中是无法实现的。

　　④ 可以在策略路由设置里临时创建地址对象，但是我们还是建议在预先创建好地址对象。选择菜单【策略&对象】-【地址】，默认为【Standard】-【Address】，点击【新建】。

　　⑤ 输入自定义的地址名称，类型默认为子网，在IP/掩码输入服务器IP网段。如果这个地址对象要在静态路由中使用，也可以启用【静态路由配置】，点击【确认】。

　　⑥ 如果有多个类似的地址对象，可以选择原始地址对象，点击【克隆】。

　　⑦ 修改名称和IP/掩码，点击【确认】，新的地址对象就克隆好了。以此类推。

　　⑧ 可以将多个地址对象放入一个地址组。点击Standard下的【Address Group】，点击【新建】。

　　⑨ 输入自定义的地址组名称，成员选择刚刚建立的三个地址对象，同样如果地址组要在静态路由中使用，可以启用【静态路由配置】。点击【确认】，地址组创建完成。

　　⑩ 在静态路由中，目标地址多出一个【地址命名】栏，点击显示刚才创建的地址对象和地址组，这是因为刚才创建的时候，均启用了【静态路由配置】，使在地址组和地址对象都可以在静态路由中使用。早期版本没有这个功能。

　　⑪ 再次回到新建策略路由，流入接口选择内网，源地址可以为地址对象all，也可以限制指定IP网段，目标地址选择刚刚创建的总部服务器IP地址组，动作默认为【转发流量】，启用流出接口，选择流出接口为Wan2，网关地址填写Wan2的网关IP。点击【确认】，策略路由创建成功。

　　⑫ 回到路由小部件窗口，右上角下拉选择【策略路由】，可以看到新建的策略路由。策略路由优先于静态路由。当内网电脑172.16.200.1访问服务器IP172.16.100.254时，优先匹配策略路由，走移动SDWAN出去。而当访问baidu.com时，不匹配策略路由，再和静态路由匹配，配备第一条默认路由，走ADSL宽带出去，因为第一条的优先级最高（数字越小，优先级越高）。

　　【总结】策略只是允许放行，路由才是走哪条宽带出去的关键。静态路由配置简单，相同的管理距离允许多条宽带同时使用。不用的优先级，确认哪条宽带优先使用。策略路由可控性更强，增加流入接口、源IP、协议等控制，可使用地址对象和地址组。策略路由优先于静态路由。